Hiểu dự thảo
Nghị định về an ninh mạng như thế nào?
Dự thảo Nghị định quy định chi tiết một số điều của Luật An
ninh mạng chủ yếu nói đến hệ thống thông tin quan trọng về an ninh quốc gia, chỉ
có Chương 5 là liên quan trực tiếp đến doanh nghiệp và người dân.
Điều 25 đặt ra 4 điều kiện mà doanh nghiệp khi hội đủ thì phải
lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
Điều kiện thứ nhất hầu như bao quát hết mọi doanh nghiệp nào
có dịch vụ trên mạng Internet; chẳng hạn dịch vụ lưu trữ (như Dropbox); Thương
mại điện tử (như Amazon); Mạng xã hội (như Facebook); Dịch vụ viễn thông (như Viber);
Thư điện tử (như Gmail)…
Điều kiện thứ hai cũng có thể bao quát hết các doanh nghiệp
này vì một khi họ có thu thập thông tin về người dùng (dữ liệu về thông tin cá
nhân) thì thông thường họ cũng khai thác, phân tích, xử lý các loại dữ liệu
này. Tuy nhiên ở đây cần lưu ý các dữ liệu cũng bao gồm thông tin do người dùng
tải lên, đồng bộ hoặc nhập từ thiết bị - có nghĩa nội dung đưa lên Facebook, nội
dung trao đổi qua Viber, nội dung lưu trên Dropbox hay nội dung thư điện tử
trên Gmail cũng bao gồm.
Điều kiện thứ ba loại trừ khá nhiều doanh nghiệp trên (như Amazon;
các doanh nghiệp cung cấp dịch vụ khác như Netflix, Spotify cũng không liên
quan), trừ các doanh nghiệp cung ứng dịch vụ mà người dùng có tương tác, tức
người dùng có thể đăng tải nội dung như Facebook, YouTube, Viber, Gmail… vì chỉ
cần một hai người dùng trong số hàng triệu người dùng vi phạm những điểm nêu
trong Luật An ninh mạng thì đều bị quy trách nhiệm như “Xuyên tạc lịch sử”; “Thông
tin sai sự thật gây hoang mang trong nhân dân”... Đó là vì họ đã “Để cho người
sử dụng dịch vụ thực hiện hành vi được quy định tại Khoản 1, 2 Điều 8 Luật An
ninh mạng”.
Điều kiện thứ tư đặt ra một yêu cầu ngược. Các nơi ví dụ như
Facebook phải “cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ
an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra,
xử lý hành vi vi phạm pháp luật về an ninh mạng”. Nếu họ cung cấp xem như không
hội đủ điều kiện thứ tư nên khỏi lưu trữ dữ liệu, khỏi mở văn phòng tại Việt
Nam. Nếu họ từ chối cung cấp sẽ được xem là “vi phạm quy định tại Khoản 4 Điều
8, điểm a hoặc điểm b khoản 2 Điều 26 Luật An ninh mạng” và như thế là hội đủ cả
4 điều kiện!
Ở đây ngoài việc cung cấp thông tin còn có việc phải xóa nội
dung được xem là xấu, độc hại. Xóa thì thôi; không xóa là vi phạm nên xem như hội
đủ điều kiện. Xem ra Nghị định được soạn rất khéo, rất thông minh. Doanh nghiệp
nước ngoài khó lòng kêu ca gì nữa vì yêu cầu lưu dữ liệu và mở văn phòng ở Việt
Nam không phải áp dụng cho tất cả. Chỉ áp dụng yêu cầu này cho doanh nghiệp nào
để người dùng vi phạm Luật An ninh mạng và không “hợp tác” để “khắc phục” theo
quy định tại Luật An ninh mạng. Nói cách khác dự thảo Nghị định này đúng như tên
gọi của nó là “quy định chi tiết một số điều” mà thôi, nó không mở rộng, không
làm nặng hơn Luật An ninh mạng.